Łączenie konta Google z OAuth

Konta są łączone za pomocą standardowych przepływów OAuth 2.0: pośredniegokodu autoryzacji.

Usługa musi obsługiwać zgodne z OAuth 2.0 punkty końcowe autoryzacjiwymiany tokenów.

W przepływie niejawnym Google otwiera punkt końcowy autoryzacji w przeglądarce użytkownika. Po zalogowaniu się zwracasz do Google długoterminowy token dostępu. Ten token dostępu jest teraz dołączany do każdego żądania wysyłanego z Google.

W przypadku przepływu kodu autoryzacji potrzebujesz 2 punktów końcowych:

  • Punkt końcowy autoryzacji, który wyświetla interfejs logowania użytkownikom, którzy nie są jeszcze zalogowani. Punkt autoryzacji tworzy też krótkotrwały kod autoryzacji, aby rejestrować zgodę użytkowników na żądany dostęp.

  • Punkt końcowy wymiany tokenów, który odpowiada za 2 rodzaje wymian:

    1. Wymienia kod autoryzacji na długoterminowy token odświeżania i krótkoterminowy token dostępu. Wymiana następuje, gdy użytkownik przechodzi proces łączenia kont.
    2. Wymienia długotrwały token odświeżania na krótkotrwały token dostępu. Ta wymiana następuje, gdy Google potrzebuje nowego tokena dostępu, ponieważ poprzedni wygasł.

Wybieranie przepływu OAuth 2.0

Chociaż przepływ niejawny jest prostszy do wdrożenia, Google zaleca, aby tokeny dostępu wydawane w ramach tego przepływu nigdy nie wygasały. Dzieje się tak, ponieważ po wygaśnięciu tokena użytkownik musi ponownie połączyć konto z aplikacją w ramach przepływu niejawnego. Jeśli ze względów bezpieczeństwa potrzebujesz wygasania tokena, zdecydowanie zalecamy używanie przepływu kodu autoryzacji.

Wskazówki dotyczące wyglądu

W tej sekcji opisujemy wymagania i zalecenia dotyczące projektu ekranu użytkownika, który hostujesz w przypadku przepływów łączenia protokołu OAuth. Gdy aplikacja Google wywoła tę funkcję, platforma wyświetli użytkownikowi stronę logowania w Google i ekran zgody na połączenie kont. Po wyrażeniu zgody na połączenie kont użytkownik zostaje przekierowany z powrotem do aplikacji Google.

Ilustracja przedstawiająca kroki, które użytkownik musi wykonać, aby połączyć swoje konto Google z Twoim systemem uwierzytelniania. Pierwszy zrzut ekranu pokazuje inicjowane przez użytkownika połączenie z Twojej platformy. Drugi obraz przedstawia logowanie użytkownika w Google, a trzeci – zgodę użytkownika i potwierdzenie połączenia konta Google z aplikacją. Ostatni zrzut ekranu pokazuje pomyślnie połączone konto użytkownika w aplikacji Google.
Rysunek 1. Ekrany logowania użytkownika na konto Google i ekrany zgody w procesie łączenia kont.

Wymagania

  1. Musisz poinformować użytkownika, że jego konto zostanie połączone z Google, a nie z konkretną usługą Google, taką jak Google Home czy Asystent Google.

Rekomendacje

Zalecamy wykonanie tych czynności:

  1. Wyświetl Politykę prywatności Google. Na ekranie zgody umieść link do Polityki prywatności Google.

  2. Dane, które mają być udostępniane. Używaj jasnego i zwięzłego języka, aby informować użytkowników, jakich danych Google wymaga i dlaczego.

  3. Jednoznaczne wezwanie do działania Na ekranie zgody umieść jasne wezwanie do działania, np. „Zgadzam się i łączę”. Użytkownicy muszą wiedzieć, jakie dane muszą udostępnić Google, aby połączyć swoje konta.

  4. Możliwość anulowania. Zapewnij użytkownikom możliwość powrotu lub anulowania, jeśli nie chcą połączyć kont.

  5. Prosty proces logowania. Upewnij się, że użytkownicy mają jasną metodę logowania się na konto Google, np. pola na nazwę użytkownika i hasło lub przycisk Zaloguj się przez Google.

  6. Możliwość odłączenia Udostępnij użytkownikom mechanizm odłączania, np. adres URL do ustawień konta na Twojej platformie. Możesz też dodać link do konta Google, na którym użytkownicy mogą zarządzać połączonym kontem.

  7. Możliwość zmiany konta użytkownika. Zaproponuj użytkownikom metodę przełączania kont. Jest to szczególnie korzystne, jeśli użytkownicy mają zwykle kilka kont.

    • Jeśli użytkownik musi zamknąć ekran zgody, aby przełączyć konta, wyślij do Google błąd, który można naprawić, aby użytkownik mógł zalogować się na wybrane konto za pomocą połączenia OAuth i przepływu niejawnego.

  8. Dodaj logo. wyświetlać logo firmy na ekranie zgody; Umieść logo zgodnie z wytycznymi dotyczącymi stylu. Jeśli chcesz wyświetlać logo Google, zapoznaj się z sekcją Loga i znaki towarowe.

Tworzenie projektu

Aby utworzyć projekt do łączenia kont:

  1. Otwórz konsolę interfejsów API Google.
  2. Kliknij Utwórz projekt.
  3. Wpisz nazwę lub zaakceptuj wygenerowaną sugestię.
  4. Potwierdź lub edytuj pozostałe pola.
  5. Kliknij Utwórz.

Aby wyświetlić identyfikator projektu:

  1. Otwórz konsolę interfejsów API Google.
  2. Znajdź swój projekt w tabeli na stronie docelowej. Identyfikator projektu jest wyświetlany w kolumnie Identyfikator.

Proces łączenia z kontem Google obejmuje ekran zgody, na którym użytkownicy mogą zobaczyć, która aplikacja prosi o dostęp do ich danych, jakich danych żąda i jakie warunki mają zastosowanie. Zanim wygenerujesz identyfikator klienta interfejsu API Google, musisz skonfigurować ekran zgody OAuth.

  1. Otwórz stronę ekranu zgody OAuth w konsoli interfejsów API Google.
  2. Jeśli pojawi się prośba, wybierz projekt, który właśnie utworzyłeś.

  3. Na stronie „Ekran zgody OAuth” wypełnij formularz i kliknij przycisk „Zapisz”.

    Nazwa aplikacji: nazwa aplikacji, która prosi o akceptację. Nazwa powinna dokładnie odzwierciedlać Twoją aplikację i być zgodna z nazwą aplikacji, którą użytkownicy widzą w innych miejscach. Nazwa aplikacji będzie wyświetlana na ekranie zgody na łączenie kont.

    Logo aplikacji: obraz na ekranie zgody, który pomoże użytkownikom rozpoznać Twoją aplikację. Logo jest wyświetlane na ekranie zgody na łączenie kont i w ustawieniach konta.

    Adres e-mail pomocy: dla użytkowników, którzy chcą się z Tobą skontaktować w sprawie pytań o ich zgodę.

    Zakresy interfejsów API Google: zakresy umożliwiają aplikacji dostęp do prywatnych danych Google użytkownika. W przypadku łączenia z kontem Google wystarczy domyślny zakres (e-mail, profil, OpenID). Nie musisz dodawać żadnych zakresów wrażliwych. Zasadniczo najlepszym rozwiązaniem jest żądanie zakresów przyrostowo, w momencie, gdy wymagany jest dostęp, a nie z góry. Więcej informacji.

    Autoryzowane domeny: aby chronić Ciebie i Twoich użytkowników, Google pozwala na używanie autoryzowanych domen tylko aplikacjom, które uwierzytelniają się za pomocą protokołu OAuth. Linki do Twoich aplikacji muszą być hostowane w autoryzowanych domenach. Więcej informacji.

    Link do strony głównej aplikacji: strona główna Twojej aplikacji. Musi być hostowana w autoryzowanej domenie.

    Link do polityki prywatności aplikacji: Wyświetlany na ekranie zgody na łączenie kont Google. Musi być hostowana w autoryzowanej domenie.

    Link do Warunków korzystania z usługi (opcjonalnie): musi być hostowany w autoryzowanej domenie.

    Rysunek 1. Ekran zgody na łączenie z kontem Google w przypadku fikcyjnej aplikacji Tunery

  4. Sprawdź „Stan weryfikacji”. Jeśli Twoja aplikacja wymaga weryfikacji, kliknij przycisk „Prześlij do weryfikacji”, aby przesłać aplikację do weryfikacji. Szczegółowe informacje znajdziesz w wymaganiach dotyczących weryfikacji OAuth.

Wdrażanie serwera OAuth

n

Aby obsługiwać przepływ niejawny OAuth 2.0, Twoja usługa udostępnia punkt końcowy autoryzacji przez HTTPS. Ten punkt końcowy odpowiada za uwierzytelnianie i uzyskiwanie zgody użytkowników na dostęp do danych. Punkt końcowy autoryzacji wyświetla użytkownikom, którzy nie są jeszcze zalogowani, interfejs logowania i rejestruje zgodę na żądany dostęp.

Gdy aplikacja Google musi wywołać jeden z autoryzowanych interfejsów API Twojej usługi, Google używa tego punktu końcowego, aby uzyskać od użytkowników pozwolenie na wywoływanie tych interfejsów API w ich imieniu.

Łączenie z kontem Google: przepływ niejawny protokołu OAuth

Ten diagram sekwencji przedstawia interakcje między użytkownikiem, Google i punktami końcowymi Twojej usługi.

Użytkownik Aplikacja Google / przeglądarka Twój punkt końcowy autoryzacji 1. Użytkownik inicjuje łączenie 2. Przekierowanie do punktu końcowego autoryzacji (GET) client_id, redirect_uri, state, scope 3. Wyświetlanie ekranu logowania i zgody 4. Użytkownik uwierzytelnia się i wyraża zgodę 5. Przekierowanie z powrotem do Google z tokenem (GET) access_token, state 6. Przechowywanie tokenów użytkownika 7. Dostęp do zasobów użytkownika
Rysunek 1. Sekwencja zdarzeń w przepływie niejawnym protokołu OAuth 2.0 na potrzeby łączenia z kontem Google.

Role i obowiązki

W tej tabeli znajdziesz role i obowiązki podmiotów w przepływie niejawnym protokołu OAuth na potrzeby łączenia kont Google (GAL). Pamiętaj, że w przypadku globalnej listy adresów Google pełni rolę klienta OAuth, a Twoja usługa – rolę dostawcy tożsamości/dostawcy usług.

Podmiot / komponent Rola w globalnej liście adresów Obowiązki
Aplikacja / serwer Google Klient OAuth Inicjuje przepływ, odbiera token dostępu za pomocą przekierowania przeglądarki, i bezpiecznie go przechowuje, aby uzyskać dostęp do interfejsów API Twojej usługi.
Twój punkt końcowy autoryzacji Serwer autoryzacji Uwierzytelnia użytkowników, uzyskuje ich zgodę i wydaje długoterminowe tokeny dostępu bezpośrednio do Google.
Identyfikator URI przekierowania Google Punkt końcowy wywołania zwrotnego Odbiera przekierowanie użytkownika z Twojej usługi autoryzacji z wartościami access_token i state w fragmencie adresu URL.

Typowa sesja przepływu niejawnego OAuth 2.0 zainicjowana przez Google przebiega w ten sposób:

  1. Google otwiera Twój punkt końcowy autoryzacji w przeglądarce użytkownika. Użytkownik loguje się (jeśli nie jest jeszcze zalogowany) i przyznaje Google uprawnienia dostępu do swoich danych za pomocą Twojego interfejsu API (jeśli nie przyznał jeszcze tych uprawnień).
  2. Twoja usługa tworzy token dostępu i zwraca go do Google. Aby to zrobić, przekieruj przeglądarkę użytkownika z powrotem do Google z tokenem dostępu dołączonym do żądania.
  3. Google wywołuje interfejsy API Twojej usługi i dołącza token dostępu do każdego żądania. Twoja usługa sprawdza, czy token dostępu przyznaje Google uprawnienia dostępu do interfejsu API, a następnie wykonuje wywołanie interfejsu API.

Obsługa żądań autoryzacji

Gdy aplikacja Google musi połączyć konto za pomocą przepływu niejawnego OAuth 2.0, Google wysyła użytkownika do Twojego punktu końcowego autoryzacji z żądaniem, które zawiera te parametry:

Parametry punktu końcowego autoryzacji
client_id Identyfikator klienta przypisany przez Ciebie do Google.
redirect_uri Adres URL, na który wysyłasz odpowiedź na to żądanie.
state Wartość księgowa, która jest przekazywana z powrotem do Google bez zmian w identyfikatorze URI przekierowania.
response_type Typ wartości, która ma zostać zwrócona w odpowiedzi. W przypadku przepływu niejawnego OAuth 2.0 typ odpowiedzi jest zawsze token.
user_locale Ustawienie języka konta Google w RFC5646 formacie używane do lokalizowania treści w preferowanym języku użytkownika.

Jeśli na przykład Twój punkt końcowy autoryzacji jest dostępny pod adresem https://myservice.example.com/auth, żądanie może wyglądać tak:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token&user_locale=LOCALE

Aby punkt końcowy autoryzacji obsługiwał żądania logowania:

  1. Sprawdź wartości client_id i redirect_uri, aby zapobiec przyznaniu dostępu do niezamierzonych lub nieprawidłowo skonfigurowanych aplikacji klienckich:

    • Sprawdź, czy client_id odpowiada identyfikatorowi klienta przypisanemu przez Ciebie do Google.
    • Sprawdź, czy adres URL określony przez parametr redirect_uri ma ten format: 
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID

  2. Sprawdź, czy użytkownik jest zalogowany w Twojej usłudze. Jeśli użytkownik nie jest zalogowany, wykonaj przepływ logowania lub rejestracji w Twojej usłudze.

  3. Wygeneruj token dostępu, którego Google będzie używać do uzyskiwania dostępu do Twojego interfejsu API. Token dostępu może być dowolnym ciągiem znaków, ale musi jednoznacznie reprezentować użytkownika i klienta, dla którego jest przeznaczony, oraz nie może być łatwy do odgadnięcia.

  4. Wyślij odpowiedź HTTP, która przekierowuje przeglądarkę użytkownika na adres URL określony przez parametr redirect_uri. Uwzględnij we fragmencie adresu URL te parametry:

    • access_token: wygenerowany przez Ciebie token dostępu.
    • token_type: ciąg znaków bearer.
    • state: niezmieniona wartość stanu z pierwotnego żądania.

    Oto przykład wynikowego adresu URL: 

    https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

Procedura obsługi przekierowań OAuth 2.0 Google odbiera token dostępu i potwierdza, że wartość state nie uległa zmianie. Gdy Google uzyska token dostępu do Twojej usługi, będzie dołączać go do kolejnych wywołań interfejsów API Twojej usługi.

Obsługa żądań informacji o użytkowniku

Punkt końcowy informacji o użytkowniku jest chronionym przez OAuth 2.0 zasobem, który zwraca deklaracje dotyczące połączonego użytkownika. Wdrożenie i hosting punktu końcowego informacji o użytkowniku jest opcjonalne. Wyjątkiem są te przypadki użycia:

Po pobraniu tokena dostępu z punktu końcowego tokena Google wysyła żądanie do punktu końcowego informacji o użytkowniku, aby pobrać podstawowe informacje profilowe połączonego użytkownika.

nagłówki żądań punktu końcowego informacji o użytkowniku
Authorization header Token dostępu typu okaziciela.

Jeśli na przykład punkt końcowy informacji o użytkowniku jest dostępny pod adresem https://myservice.example.com/userinfo, żądanie może wyglądać tak:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

Aby punkt końcowy informacji o użytkowniku mógł obsługiwać żądania, wykonaj te czynności:

  1. Wyodrębnij token dostępu z nagłówka autoryzacji i zwróć informacje o użytkowniku powiązanym z tym tokenem.
  2. Jeśli token dostępu jest nieprawidłowy, zwróć błąd HTTP 401 (Brak autoryzacji) i użyj nagłówka odpowiedzi WWW-Authenticate. Poniżej znajduje się przykładowa odpowiedź na pytanie o błąd w informacjach o użytkowniku: 
    HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="The Access Token expired"
    Jeśli podczas procesu łączenia pojawi się błąd 401 (Brak autoryzacji) lub inna nieudana próba połączenia, błędu nie będzie można odzyskać, pobrany token zostanie odrzucony, a użytkownik będzie musiał ponownie zainicjować proces łączenia.

  3. Jeśli token dostępu jest prawidłowy, zwróć odpowiedź HTTP 200 z podanym niżej obiektem JSON w treści HTTPS odpowiedź: 

    {
"sub": "USER_UUID",
"email": "EMAIL_ADDRESS",
"given_name": "FIRST_NAME",
"family_name": "LAST_NAME",
"name": "FULL_NAME",
"picture": "PROFILE_PICTURE",
}
     Jeśli punkt końcowy informacji o użytkowniku zwraca odpowiedź HTTP 200, pobrany token i żądania są rejestrowane dla konta Google użytkownika.

    odpowiedź dotycząca punktu końcowego informacji o użytkowniku
    sub Unikalny identyfikator, który identyfikuje użytkownika w Twoim systemie.
    email Adres e-mail użytkownika.
    given_name Opcjonalnie: imię użytkownika.
    family_name Opcjonalnie: nazwisko użytkownika.
    name Opcjonalnie: pełna nazwa użytkownika.
    picture Opcjonalnie: zdjęcie profilowe użytkownika.

Sprawdzanie poprawności implementacji

Implementację możesz zweryfikować za pomocą narzędzia OAuth 2.0 Playground.

W narzędziu wykonaj te czynności:

  1. Kliknij Konfiguracja , aby otworzyć okno Konfiguracja OAuth 2.0.
  2. W polu OAuth flow (Proces OAuth) wybierz Client-side (Po stronie klienta).
  3. W polu Punkty końcowe OAuth wybierz Niestandardowe.
  4. W odpowiednich polach podaj punkt końcowy OAuth 2.0 i identyfikator klienta przypisany do Google.
  5. W sekcji Krok 1 nie wybieraj żadnych zakresów Google. Zamiast tego pozostaw to pole puste lub wpisz zakres ważny dla Twojego serwera (albo dowolny ciąg znaków, jeśli nie używasz zakresów OAuth). Gdy skończysz, kliknij Autoryzuj interfejsy API.
  6. W sekcjach Krok 2Krok 3 przejdź przez przepływ OAuth 2.0 i sprawdź, czy każdy krok działa zgodnie z oczekiwaniami.

Możesz sprawdzić, czy implementacja jest prawidłowa, korzystając z narzędzia Google Account Linking Demo.

W narzędziu wykonaj te czynności:

  1. Kliknij przycisk Zaloguj się przez Google.
  2. Wybierz konto, które chcesz połączyć.
  3. Wpisz identyfikator usługi.
  4. Opcjonalnie wpisz co najmniej jeden zakres, do którego chcesz uzyskać dostęp.
  5. Kliknij Uruchom wersję pokazową.
  6. Gdy pojawi się komunikat, potwierdź, że możesz wyrazić zgodę na prośbę o połączenie lub ją odrzucić.
  7. Sprawdź, czy nastąpiło przekierowanie na Twoją platformę.